惠普笔记本电脑键盘驱动存在的记录器后门漏洞(CNVD-2016-00711)。攻击者利用该漏洞可以监视用户并获取敏感信息。
一、漏洞情况分析
近日,安全研究人员发布公告称惠普笔记本电脑键盘驱动存在的记录器后门漏洞,键盘记录代码出现在SynTP. sys文件中,是“Synaptics”触摸板驱动程序的一部分,它可以驱动一些HP笔记本模型。默认情况下,日志是禁用的,但可以通过设置注册表值来启用,注册表键为:
HKLMSoftwareSynaptics%ProductName%HKLMSoftwareSynaptics%ProductName%Default
恶意软件的开发者可以通过修改注册表键值来启用键盘记录行为,并使用原生本地内核签名工具监视用户,这些工具无法被安全产品检测到。 CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
惠普已经发布了一份受影响笔记本电脑的列表,包括固件更新的链接,共有475个型号,包括303个用户笔记本和172个商业笔记本移动客户端和移动工作站。受影响的产品系列包括HP's 25*, mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook系列,以及Compaq产品。
详情请参考惠普官网链接:https://support.hp.com/us-en/document/c05827409
三、漏洞修复建议
惠普已经发布了数百个笔记本的驱动程序更新,以删除攻击者可能作为键盘记录器组件被滥用的调试代码,详情请参考官网链接:https://support.hp.com/us-en/document/c05827409
附:参考链接:
https://zwclose.github.io/HP-keylogger/http://www.cnvd.org.cn/flaw/show/
https://www.bleepingcomputer.com/news/security/keylogger-found-in-audio-driver-of-hp-laptops/